跳至主内容

反恶意软件

反恶意软件 模块通过检测受感染或可疑项目,并根据指定操作尝试清除或隔离感染,从而保护Exchange邮件服务器免受各类恶意软件威胁(病毒、木马、间谍软件、rootkit、广告软件等)。

反恶意软件扫描在两个层级执行:

policies_exchange_protection_antimalware_o_48211_en.png

传输层扫描

Bitdefender终端安全工具 与邮件传输代理集成以扫描所有电子邮件流量。

默认情况下,传输层扫描处于启用状态。 Bitdefender终端安全工具 会过滤电子邮件流量,并在必要时通过在邮件正文中添加文本来通知用户所采取的操作。

点击切换开关以启用 反恶意软件过滤 .

要配置扫描后的通知文本,请点击 编辑注释 。在配置页面上,提供以下选项:

  • 在扫描邮件中添加页脚。 勾选此复选框可在扫描邮件底部添加一句话。要修改默认文本,请在下方文本框中输入您的消息。

  • 替换文本。 对于附件已被删除或隔离的邮件,可附加通知文件。要修改默认通知文本,请在相应文本框中输入您的消息。

    policies_exchange_protection_antimalware_edit_notes_cp_48211_en.png

反恶意软件过滤依赖于规则。每封到达邮件服务器的邮件都会按优先级顺序与反恶意软件过滤规则进行比对,直至匹配到某条规则。随后邮件将根据该规则指定的选项进行处理。

管理过滤规则

您可查看表格中列出的所有现有规则,包括其优先级、状态和作用范围信息。规则按优先级排序,首条规则具有最高优先级。

任何反恶意软件策略都有一条默认规则,启用反恶意软件过滤后即生效。关于默认规则需知:

  • 您无法复制、禁用或删除该规则。

  • 仅可修改扫描设置和操作。

  • 默认规则优先级始终为最低。

创建规则

您有两种创建过滤规则的方式:

  • 从默认设置开始,按以下步骤操作:

    1. 点击 添加 表格上方的按钮以打开配置页面。

    2. 配置规则设置。有关选项的详细信息,请参阅 规则选项 .

    3. 点击 添加 。该规则将列在表格首位。

  • 使用自定义规则的克隆作为模板,按以下步骤操作:

    1. 从表格中选择所需规则。

    2. 点击 克隆 点击表格上方的按钮以打开配置页面。

    3. 根据需求调整规则选项。

    4. 点击 添加 ,该规则将优先显示在表格首位。

编辑规则

编辑现有规则的步骤:

  1. 点击规则名称打开配置窗口。

  2. 输入需要修改选项的新值。

  3. 点击 保存 ,变更将在策略保存后生效。

设置规则优先级

修改规则优先级的步骤:

  1. 定位至需移动的规则,点击 moreIcon.png 更多 菜单并选择 编辑优先级 .

  2. 使用箭头调整优先级。

  3. 点击 exclusionsOKicon.png 确认 图标以保存变更。

若要将规则置顶,请点击对应 moreIcon.png 更多 按钮并选择 移至顶部 .

删除规则

可批量删除一个或多个自定义规则,操作步骤如下:

  1. 勾选待删除规则对应的复选框。

  2. 点击表格上方的 删除 按钮。规则一经删除将无法恢复。

若要删除单个规则,请点击相应 moreIcon.png 更多 菜单并选择 删除 .

规则选项

policies_exchange_protection_antimalware_rule_options_cp_48211_en.png

可配置选项如下:

  • 常规设置 必须在本部分设置规则名称,否则无法保存。若需规则在策略保存后立即生效,请勾选 启用 复选框。

  • 规则范围 通过设置以下累加范围选项,可限制规则仅适用于部分邮件:

    • 应用方向 选择规则适用的邮件传输方向。

    • 发件人 可设置规则适用于任意发件人或特定发件人。如需缩小发件人范围,请点击 特定 按钮,从左表选择目标群组。已选群组将显示在右侧表格中。

    • 收件人 可设置规则适用于任意收件人或特定收件人。如需缩小收件人范围,请点击 特定 按钮,从左表选择目标群组。已选群组将显示在右侧表格中。

      当任意收件人符合选择条件时规则即生效。若需所有收件人均属于所选群组时才应用规则,请选择 匹配全部收件人 .

      注意

      抄送 密送 字段中的地址同样视为收件人。

      重要提示

      基于用户组的规则仅适用于集线器传输和邮箱角色。

  • 选项 为符合规则的电子邮件配置扫描选项:

    • 扫描的文件类型 使用此选项指定需要扫描的文件类型。您可以选择扫描所有文件(无论其扩展名)、仅扫描应用程序文件,或扫描您认为危险的具体文件扩展名。扫描所有文件提供最佳防护,而仅扫描应用程序文件可加快扫描速度。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。更多信息请参阅appendices.extensions.app。

      若仅需扫描特定扩展名的文件,您有两种选择:

      • 用户自定义扩展名 (需手动输入需扫描的扩展名)

      • 扫描除特定扩展名外的所有文件 (需手动输入跳过扫描的扩展名)

    • 附件/邮件正文最大尺寸(MB) 勾选此选项并在对应字段输入数值,以设置待扫描附件或邮件正文的最大允许尺寸。

    • 压缩包最大深度(层级) 勾选此选项并从对应字段选择最大压缩深度。深度值越低,性能越高但防护等级越低。

    • 扫描潜在有害应用程序(PUA) 勾选此选项以扫描可能恶意或不需要的应用程序(如广告软件),这些程序可能在未经用户同意时安装,改变软件行为并降低系统性能。

  • 操作 您可根据检测类型为安全代理指定不同的自动处理操作。

    检测类型将文件分为三类:

    • 受感染文件 Bitdefender 通过多种先进机制将文件检测为受感染状态,包括恶意软件特征码、机器学习及基于人工智能(AI)的技术。

    • 可疑文件。 这些文件被启发式分析和其他 Bitdefender 技术判定为可疑。这些技术提供高检测率,但用户需注意某些情况下可能出现误报(将清洁文件判定为可疑)。

    • 不可扫描文件。 这些文件无法被扫描。不可扫描文件包括但不限于受密码保护、加密或过度压缩的文件。

    每种检测类型都设有默认(主要)操作和备用操作(当主要操作失败时启用)。虽然不建议,您仍可通过对应菜单修改这些操作。请选择要执行的操作:

    • 修复。 将受感染文件移至隔离区,拒绝访问,并通过移除恶意代码并重建原始文件进行消毒。对于特定类型恶意软件,由于被检测文件完全恶意,消毒不可行。建议始终将此作为受感染文件的首选操作。可疑文件因无消毒程序可用而无法消毒。

    • 拒绝/删除邮件。 在具有边缘传输角色的服务器上,被检测邮件会以550 SMTP错误代码拒绝。其他情况下邮件将被直接删除且无警告。建议避免使用此操作。

    • 删除文件。 直接删除有问题的附件且不发出警告。建议避免使用此操作。

    • 替换文件。 删除有问题的文件并插入文本文件以通知用户所执行操作。

    • 将文件移至隔离区。 将被检测文件移至隔离文件夹并插入文本文件通知用户。隔离文件无法被执行或打开,从而消除感染风险。您可通过 隔离区 页面管理隔离文件。

      注意

      Exchange服务器的隔离功能需要在安装安全代理的分区上额外硬盘空间。隔离区大小取决于存储项目的数量及其体积。

    • 仅报告。 对被检测文件不执行任何操作,这些文件仅出现在扫描日志中。默认情况下扫描任务会忽略可疑文件。您可修改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当邮件匹配规则范围时,将仅根据该规则处理,不再检查其他剩余规则。若需继续检查其他规则,请取消勾选 停止处理更多规则 .

创建和配置排除项

若希望特定邮件流量不被任何过滤规则检测,可定义扫描排除项。

创建排除项的步骤:

  1. 点击 添加 打开配置页面。

  2. 配置排除设置。有关选项的详细信息,请参阅 规则选项 .

  3. 点击 添加 。排除项将被添加到表格中。

Exchange存储扫描

Exchange Protection使用Microsoft的Exchange Web Services(EWS)来扫描Exchange邮箱和公共文件夹数据库。您可以根据指定的时间表,配置反恶意软件模块定期对目标数据库运行按需扫描任务。

注意

  • 按需扫描仅适用于安装了Mailbox角色的Exchange服务器。

  • 按需扫描会增加资源消耗,并且根据扫描选项和待扫描对象的数量,可能需要相当长的时间才能完成。

policies_exchange_protection_antimalware_scan_tasks_cp_48211_en.png

按需扫描需要一个Exchange管理员账户(服务账户)来模拟Exchange用户,并从用户邮箱和公共文件夹中检索待扫描的目标对象。建议为此目的创建一个专用账户。

Exchange管理员账户必须满足以下要求:

  • 是Organization Management组的成员(Exchange 2016、2013和2010)

  • 是Exchange Organization Administrators组的成员(Exchange 2007)

  • 已附加邮箱。

启用按需扫描

  1. 扫描任务 部分,点击 添加凭据 .

  2. 输入服务账户的用户名和密码。

  3. 如果电子邮件与用户名不同,您还需要提供服务账户的电子邮件地址。

  4. 输入Exchange Web Services(EWS)URL,当Exchange自动发现功能不起作用时,这是必需的。

  5. 点击 添加 .

注意

  • 用户名必须包含域名,格式如 user@domain domain\user .

  • 若凭证变更,请勿忘记在 控制中心 更新。

policies_exchange_protection_antimalware_add_credentials_cp_48211_en.png

管理扫描任务

扫描任务表显示所有计划任务,并提供其目标和重复周期的相关信息。

创建Exchange Store扫描任务的步骤:

  1. 扫描任务 区域,点击表格上方的 添加 按钮以打开设置。

  2. 按下文所述配置任务设置。

  3. 点击 添加 。任务将被加入列表,策略保存后立即生效。

点击任务名称可随时编辑任务。

要从列表中移除任务,请选中任务并点击表格上方的 删除 按钮。

编辑或删除任务时,也可点击对应的 moreIcon.png 更多 按钮并选择相应选项。

扫描任务设置

任务包含一系列可配置的设置项,具体说明如下:

  • 常规设置 为任务输入一个描述性名称。

    注意

    您可以在 Bitdefender终端安全工具 时间轴中查看任务名称。

  • 计划程序 通过调度选项配置扫描计划。可设置扫描按小时、天或周为周期运行,并指定开始日期和时间。对于大型数据库,扫描任务可能耗时较长并影响服务器性能。此时可配置任务在指定时间后自动停止。

    注意

    邮箱反恶意软件任务将在安装有 Bitdefender终端安全工具 Exchange安全模块的Exchange服务器上调度。这意味着:

    • 任务调度程序位于服务器本地。

    • 所有计划扫描时间均基于该服务器的时区解析。

    例如,若将邮箱扫描计划设置为凌晨3点,该任务将按服务器时间凌晨3点执行,与邮箱所有者(终端用户)的地理位置无关。

    Exchange服务器必须在线才能按计划执行任务。若错过计划时间,扫描将在下次循环时执行。

    policies_exchange_protection_antimalware_scan_tasks_options_cp_48211_en.png

  • 扫描目标 选择要扫描的容器和对象。可选择扫描邮箱、公共文件夹或两者。除电子邮件外,还可扫描其他对象如 联系人 , 任务 , 约会 公告项 。还可对扫描内容设置以下限制条件:

    • 仅未读消息

    • 仅含附件项

    • 仅指定时间间隔内接收的新项

    例如,您可以选择仅扫描过去七天内从用户邮箱接收的邮件。

    点击切换按钮启用 排除项 .

    创建例外时,请按以下方式使用表头字段:

    1. 从菜单中选择存储库类型。

    2. 根据存储库类型,指定要排除的对象:

      存储库类型

      对象格式

      邮箱

      电子邮件地址

      公共文件夹

      从根目录开始的文件夹路径

      数据库

      数据库标识

      注意

      要获取数据库标识,请使用Exchange Shell命令:

      Get-MailboxDatabase | fl name,identity

      每次只能输入一个项目。若有多个同类型项目,需按项目数量定义相应数量的规则。

    3. 点击表格上方的 添加 按钮可保存排除项并加入列表。

    要从列表中移除例外规则,请点击对应的 删除 按钮。

  • 选项 为符合规则的邮件配置扫描选项:

    • 扫描文件类型 此选项用于指定需扫描的文件类型。您可选择扫描所有文件(无论扩展名)、仅扫描应用程序文件,或扫描您认为危险的具体文件扩展名。扫描所有文件提供最佳防护,而仅扫描应用程序文件可加快扫描速度。

      注意

      应用程序文件比其他类型的文件更容易受到恶意软件攻击。更多信息,请参阅 应用程序文件类型 .

      若仅需扫描特定扩展名的文件,您有两种选择:

      • 用户自定义扩展名 ,此时您只需提供需扫描的扩展名。

      • 扫描所有文件(除特定扩展名外) ,此时您只需输入需跳过扫描的扩展名。

    • 附件/邮件正文最大尺寸(MB)。 勾选此复选框并在对应字段输入数值,以设置待扫描附件或邮件正文的最大允许尺寸。

    • 压缩包最大深度(层级)。 勾选复选框并从对应字段选择压缩包最大深度。深度级别越低,性能越高但防护等级越低。

    • 扫描潜在有害程序(PUA)。 勾选此复选框可扫描可能恶意或不必要的应用程序(如广告软件),这些程序可能在未经用户同意的情况下安装,改变各类软件行为并降低系统性能。

  • 处置措施。 您可根据检测类型,为安全代理指定自动执行的不同文件处置措施。

    检测类型将文件分为三类:

    • 感染文件。 Bitdefender 通过多种先进机制(包括恶意软件特征码、机器学习和人工智能(AI)技术)将文件判定为感染文件。

    • 可疑文件。 这些文件通过启发式分析和其他 Bitdefender 技术被判定为可疑。此类技术检测率较高,但用户需注意某些情况下可能存在误报(将正常文件判定为可疑)。

    • 不可扫描文件。 这些文件无法被扫描。不可扫描文件包括但不限于受密码保护、加密或过度压缩的文件。

    每种检测类型均设有默认(主要)处置措施和备用措施(当主要措施失败时启用)。虽不推荐,但您可通过对应菜单修改这些措施。请选择要执行的操作:

    • 修复。 禁止访问受感染对象并将其移至隔离区,随后尝试通过移除恶意代码及其衍生物来清除系统威胁。对于特定类型恶意软件,由于被检测文件完全恶意,清除操作不可行。建议始终将此作为感染文件的首选处置措施。可疑文件无法清除,因无可用清除方案。

    • 拒收/删除邮件。 邮件将被直接删除且不发出任何警告。建议避免使用此操作。

    • 删除文件。 直接删除有问题的附件且不发出任何警告。建议避免使用此操作。

    • 替换文件。 删除有问题的文件,并插入一个文本文件通知用户所采取的操作。

    • 将文件移至隔离区。 将检测到的文件移至隔离文件夹,并插入一个文本文件通知用户所采取的操作。隔离文件无法执行或打开,因此感染风险随之消除。您可以通过 隔离区 页面管理隔离文件。

      注意

      请注意,Exchange服务器的隔离功能需要在安装安全代理的分区上预留额外硬盘空间。隔离区大小取决于存储邮件的数量及大小。

    • 仅报告。 不会对检测到的文件采取任何操作,这些文件仅会出现在扫描日志中。默认情况下扫描任务会忽略可疑文件。您可能需要更改默认操作以将可疑文件移至隔离区。

    • 默认情况下,当邮件匹配规则范围时,将仅根据该规则进行处理,不再检查其他剩余规则。如需继续检查其他规则,请取消勾选 若匹配规则条件则停止处理更多规则 .

本节内容 :